Riksrevisjonen har sjekket om og i tilfelle hvordan helseforetakene forebygger IKT-angrep. Konklusjonen er at langt fra alt er på skinner: Flere eksempler på ulik vurdering av risiko i forbindelse med anskaffelser. Uklarheter mellom IKT-leverandørene og helseforetakene om hvem som skal gjennomføre konkrete informasjonssikkerhetstiltak. Få revisjoner, sikkerhetsøvelser og kontroller av bl.a. IKT-leverandører. Og Helse- og omsorgsdepartementets oppfølging på dette området har vært for passiv, ifølge Riksrevisjonen.
Riksrevisjonen har undersøkt helseforetakenes forebygging av angrep mot sine IKT-systemer. Resultatene presenteres i «Rapportvedlegg til Dokument 3:2 (2020-2021)».
Et gjennomgangstema er ulik vurdering av risiko i helseforetakene i forbindelse med anskaffelser og at helseforetakene gjennomfører få revisjoner, sikkerhetsøvelser og kontroller av blant annet IKT-leverandører.
Riksrevisjonen peker på et område der det er mulig for helseregionene å samarbeide om. På anskaffelsesområdet er det er mulighet for en mer samordnet styring og kravsetting knyttet til anskaffelse av systemer og utstyr. Sykehusinnkjøp HF, som eies i felleskap av de fire regionale helseforetakene, gjennomfører anskaffelser på vegne av alle helseforetakene. Ved opprettelsen fikk ikke selskapet noe definert oppdrag om å samordne krav og stille spesifikke krav til informasjonssikkerhet i system og utstyr som anskaffes, konstaterer revisjonen. Selskapet har heller ikke ressurser som jobber dedikert med informasjonssikkerhet, utover et personvernombud for egen virksomhet.
Ulikt utformede tjenesteavtaler
Helse- og omsorgsdepartementet påpeker overfor Riksrevisjonen at de har observert at tjenesteavtalene i helseregionene er ulik utformet. Det er nå vedtatt at helseregionen skal benytte Statens standardavtaler (SSA), som er kontraktsmaler for kjøp av IKT- og konsulenttjenester. Disse malene inneholder en del generelle krav om informasjonssikkerhet og personvern. For eksempel inneholder den generelle avtaleteksten for Driftsavtalen krav knyttet til informasjonssikkerhet og personopplysninger. Det må likevel gjøres konkrete vurderinger av krav om sikkerhet i hver anskaffelse, og de relevante kravene må beskrives i kravspesifikasjoner/bilag til avtalen.
I dokumentet fra Riksrevisjonen er det flere eksempler på ulik vurdering av risiko i helseforetakene i forbindelse med anskaffelser. Ved anskaffelse av felles EKG-løsning i Helse Nord ble det diskusjoner om risiko under innføringen av et felles system for innsamling, analyse, arkivering og deling av informasjon fra EKG-utstyr (elektro-kardiogram) i 2017. Det var enighet i alle helseforetakene i regionen om at informasjonssikkerheten i løsningen ikke var tilfredsstillende, og at det var behov for å iverksette ytterligere tiltak slik at tilfredsstillende informasjonssikkerhet kunne oppnås. Helseforetakene hadde imidlertid ulik vurdering av hvilke konsekvenser en eventuell stopp av systemet kunne medføre.
Forsinket i to år
En annen anskaffelse – den nasjonale anskaffelsen av insulinpumper til barn – ble forsinket i over to år grunnet uavklarte spørsmål tilknyttet informasjonssikkerhet og personvern. Da man skulle ta i bruk løsningen ble det stilt spørsmål om hvorvidt hvert enkelt HF skulle gjøre egne risikovurderinger. Det var samtidig uklart hvem som hadde ansvar for å sikre informasjonen som skulle lagres i skytjenesten til den valgte insulinpumpeløsningen, og det ble stilt spørsmål om hvem som hadde ansvaret for de krav som gikk utover den akseptable risikoen som helseforetaket har satt.
Undersøkelsen viser at det er uklarheter mellom IKT-leverandørene og helseforetakene om hvem som skal gjennomføre konkrete informasjonssikkerhetstiltak. I mange tilfeller er det uklart hvem som skal gjøre nødvendig opprydding og forbedringstiltak, og det er uklart hvordan ansvaret for å ivareta av sikkerheten i medisinsk-teknisk utstyr skal fordeles
Få oppfølging av IKT-leverandører
Helseforetakene gjennomfører få revisjoner, sikkerhetsøvelser og kontroller av blant annet IKT-leverandører. Og helseregionene har i liten grad undersøkt sikkerhetskulturen og om de ansatte opptrer på en måte som ivaretar IKT-sikkerheten, skriver Riksrevisjonen.
Samtidig viser undersøkelsen at Helse- og omsorgsdepartementet ikke har innhentet tilstrekkelig informasjon om hvordan krav om IKT-sikkerhet til de regionale helseforetakene er ivaretatt og fulgt opp. Etter Riksrevisjonens vurdering viser de påviste svakhetene i undersøkelsen at departementets oppfølging på dette området har vært for passiv. Styringen synes i stor grad å være hendelsesbasert og for lite proaktiv.
Bli den første til å kommentere på "Riksrevisjonen med sikkerhetssjekk: Få kontroller av IKT-leverandører i helseforetakene"